E-Mail ist nach wie vor eines der wichtigsten Kommunikationsmittel für Unternehmen und Privatpersonen. Doch mit der Verbreitung von Spam, Phishing und gefälschten Absendern ist es entscheidend, geeignete Sicherheitsmaßnahmen zu treffen. Hier kommen DMARC, DKIM und SPF ins Spiel. Diese drei Technologien helfen dabei, die Echtheit von E-Mails zu gewährleisten und Missbrauch zu verhindern. Zudem sind sie essenziell, um sicherzustellen, dass legitime E-Mails nicht im Spam-Ordner der Empfänger landen.
SPF (Sender Policy Framework)
SPF ist ein Mechanismus, mit dem der Inhaber einer Domain festlegen kann, welche Mailserver berechtigt sind, E-Mails in ihrem Namen zu versenden. Dies geschieht durch einen speziellen DNS-Eintrag, der legitime Server auflistet. Empfänger-Mailserver können so überprüfen, ob die eingehende E-Mail von einem autorisierten Server stammt. Eine korrekt konfigurierte SPF-Richtlinie kann helfen, gefälschte E-Mails zu blockieren.
Beispiel eines SPF-Eintrags:v=spf1 ip4:192.168.1.1 ip6:2001:db8::1 include:_spf.example.com -all
Dieser Eintrag erlaubt den Versand über die IPv4-Adresse 192.168.1.1, die IPv6-Adresse 2001:db8::1 sowie über die in _spf.example.com definierten Server. Alle anderen werden abgelehnt (-all).
Alternative SPF-Konfigurationen:
~allstatt-all: SoftFail (Nicht konforme E-Mails werden akzeptiert aber markiert).+all: Unsicher, da alle Server zugelassen werden (nicht empfohlen).a: Erlaubt den Versand von der IP-Adresse des Domain-A-Records.mx: Erlaubt den Versand von den Mailservern der Domain.
DKIM (DomainKeys Identified Mail)
DKIM sorgt dafür, dass eine E-Mail auf ihrem Weg durch das Internet nicht manipuliert wird. Dies geschieht durch eine digitale Signatur, die beim Versand einer E-Mail erzeugt wird. Der Empfänger kann diese Signatur mit dem öffentlichen Schlüssel aus einem DNS-Eintrag verifizieren. So wird sichergestellt, dass die Nachricht tatsächlich vom angegebenen Absender stammt und nicht verändert wurde.
Beispiel eines DKIM-Eintrags:selector1._domainkey.example.com TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqh..."
Hierbei steht selector1 für eine spezifische Signatur und p= enthält den öffentlichen Schlüssel.
Weitere DKIM-Optionen:
k=rsa: Gibt an, dass RSA als Verschlüsselungsverfahren verwendet wird.t=y: Testmodus für DKIM (Empfänger sollen Fehler nicht blockieren).s=email: Definiert, dass DKIM für E-Mails gilt.h=sha256: Setzt den Hash-Algorithmus auf SHA-256.
DKIM-Schlüssel sollten regelmäßig rotiert werden, um die Sicherheit zu gewährleisten.
DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC baut auf SPF und DKIM auf und ermöglicht eine Richtlinienkontrolle darüber, was mit E-Mails geschehen soll, die eine Authentifizierungsprüfung nicht bestehen. Zudem bietet DMARC Berichte darüber, welche E-Mails im Namen einer Domain versendet werden, was eine bessere Kontrolle ermöglicht.
Beispiel eines DMARC-Eintrags:_dmarc.example.com TXT "v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; fo=1"
Erklärung der Optionen:
p=quarantine: E-Mails, die die Prüfung nicht bestehen, werden in den Spam-Ordner verschoben.pct=100: Die Richtlinie gilt für 100 % der E-Mails.rua=mailto:dmarc-reports@example.com: Berichte über E-Mails werden an diese Adresse gesendet.ruf=mailto:dmarc-failures@example.com: Fehlermeldungen bei DMARC-Fehlschlägen gehen an diese Adresse.fo=1: Berichte werden für jede einzelne SPF- oder DKIM-Prüfung gesendet.
Weitere DMARC-Optionen:
p=none: Nur Berichte sammeln, ohne Maßnahmen zu ergreifen.p=reject: E-Mails, die DMARC nicht bestehen, werden komplett abgelehnt.sp=reject: Setzt eine gesonderte Richtlinie für Subdomains.aspf=s: Erzwingt eine strikte SPF-Abgleichprüfung.adkim=r: Legt eine relaxte DKIM-Prüfung fest (Standard).
